TCP-IP详解:ESP(IPSec Encapsulating Security Payload)

最新推荐文章于 2024-03-13 10:25:31 发布
最新推荐文章于 2024-03-13 10:25:31 发布
阅读量2.6w 收藏 63
点赞数 11
分类专栏: Networking IpSec 文章标签: ipsec 加密 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdscq1234/article/details/52705458
版权

ESP(IPSec Encapsulating Security Payload)

ESP相比AH来讲,拥有我们想要的加密功能,协议会通过加密算法将数据和Key将数据进行组合,转换成加密格式,然后送给目的端,先来看下几个比较重要的域。

1. ESP Header : 主要是包括SPI和Seq number,放在加密数据之前

2. ESP Trailer:被放置在加密数据之后,包括一个填充区域和填充长度以及一个Next Header, 这个地方比较特殊,ESP header中没有Next Header放在Trailer中

3. ESP Authentication Data : 必须是32bit的整数倍,是在前面个字段基础上计算的出来的完整性校验值ICV。

ESP的数据封装格式如下:

传输模式的ESP数据封装:

1. 原始的IPV4数据包IP header 中,proto是TCP,指向下一个的TCP header

2. 新的IPV4数据包,可以看到IP Header的proto为ESP,紧接着是ESP的SPI Seq,然后是加密的TCP header和Payload,后面就是ESP trailer

3. 在后面是ICV,验证整个数据包

隧道模式的ESP数据封装

1.原始的IPV4数据包IP header 中,proto是TCP,指向下一个的TCP header

2.新的IP header proto为ESP,然后ESP的trailer的Next Head为整个加密数据的IP头


ESP在不同模式下的认证和传输区域

1.传输模式下,红色区域便是加密区,TCP和载荷数据以及ESP尾,黄色区域是验证区包括:ESP和TCP,载荷数据和ESP尾。这个地方IP Header是不被加密和验证的。


2.隧道模式下的认证和传输区域

红色区域是加密区域,整个数据包加ESP尾, 黄色区域是验证区域,这些区域内的数据是不能被修改的。


ESP数据包发送

1.使用分组的相应选择符(目的IP地址、端口、传输协议等)查找安全策略数据库(SPD)获取策略,如分组需要IPSec处理,且其SA已建立,则与选择符相匹配的SPD项将指向安全关联数据库中的相应SA,否则则使用IKE建立SA。
2.生成或增加序列号
3.加密分组,SA指明加密算法,一般采用对称密码算法
4.计算完整性校验值

ESP数据接收

1.若IP分组分片,先重组
2.使用目的IP地址、IPSec协议、SPI进入SAD索引SA,如果查找失败,则丢弃分组
3.使用分组的选择符进入SPD中查找与之匹配的策略,根据策略检查该分组是否满足IPSec处理要求
4.检查抗重播功能
5.如SA指定需要认证,则检查数据完整性
6.解密


CQ小子
关注
  • 11
    点赞
  • 63
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
网络安全-IPSec(互联网安全协议)
A soul tortured by desire
09-07 2518
IPSec体系概念介绍、IPSec实验设计、配置思路、配置方法、故障处理
console-colors:浏览器控制台日志的颜色
05-02
控制台颜色 用于现代浏览器控制台日志的微小装饰器库 下面所有的API方法都是可链接的,并且应该在`log()`方法之前编写。 请注意,控制台日志的样式仅适用于原始类型 该实用程序仅适用于现代浏览器 我建议仔细包括在发展ENV这个脚本,而不是在生产 npm i @yaireo/console-colors --save 用法 import consoleColor from 'consoleColors' ; // encapsulating the logger const logger = consoleColor ( ) logger . red . bgWhite . bold . log ( "this is the preferred way" ) // or globally overloading the `console` object consoleColor ( w
IPSec 传输模式下 ESP 报文的装包与拆包过程
我和facker五五开
11-11 1772
ESP和传输模式简介 ESPEncapsulating Security Payloads),封装安全载荷协议,IPsec 所支持的两类协议中的一种。该协议能够在数据的传输过程中对数据进行完整性度量,来源认证以及加密,也可防止回放攻击。 ESP在传输模式时,不会生成新的IP头,而是采用原来的IP头,保护的也仅仅是真正传输的数据部分,而不是整个IP报文。处理的时候,原来的IP报文会先被
详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp
最新发布
A1_3_9_7的博客
03-13 1113
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IPsec封装问题详解
lingshengxiyou的博客
11-12 887
IPsec:(Internet Protocol Security),用来保护IP数据包,是一个协议包,里边包含诸多协议。安全领域IPsec,是重要的一课。ssl EZvpn L2TP等都有不同特点。这一章节,我们一起研究下IPsec
esp数据包,ipsec数据包
12-07
esp数据包,ipsec数据包,加密,pcap,wireshark
详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议
luming的博客
11-13 6787
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IPSec 基础介绍
qq_32044265的博客
11-28 4499
IPSec包括认证头协议AH、封装安全载荷协议ESP、因特网密钥交换协议IKE,用于保护主机与主机之间、主机与网关之间、网关与网关之间的一个或多个数据流。其中,AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换 本文对IPSec的安全联盟(Security Association)安全协议、封装模式、加密和验证、密钥交换和IKE协议以及IPSec加密数据流进行简单介绍
IPsec协议总结
轻飘飞扬
06-13 3781
1、IPsec 基本介绍 1.1 ipsec基本数据 1.2 ipsec 封装模式 传输模式 传输模式在AH、ESP处理前后IP头部保持不变,主要用于End-to-End的应用场景。 隧道模式 隧道模式则在AH、ESP处理之后再封装了一个外网IP头,主要用于Site-to-Site的应用场景 2 隧道模式下基本的封装和姐封装流程 2.1 封装流程 在原IP报文中找到TCP报文部分,在其后添加相应的ESP trailer信息。 ESP trailer 包含三部分:Padding,Pad leng
硬件 TCP/IP 协议栈(SPI发送命令字)
zhuguanlin121的博客
06-02 2303
全硬件的TCP/IP 协议栈简介 以太网接入单片机方案 以太网接口芯片CH395Q 简介 以太网接口芯片CH395Q 命令简介 以太网接口芯片CH395Q 寄存器配置与使用 移植CH395Q 源码 TCP_Client 实验 TCPClient 配置流程 TCPClient 实验 硬件设计 程序设计 下载验证 WebServer 实验 WebServer 简介 WebServer 实验 硬件设计 软件设计 下载验证 NTP 实时时间实验 NTP 简介 NTP 实验 硬件设计 软件设计 下载验证 基于MQTT
IPsec协议族之AH和ESP协议
日积月累
01-13 3493
esp和ah
基于IP端到端身份互信测试的西电捷通TISec技术研究
12-13
TISec技术的核心功能是在IP端到端之间建立了身份互信和数据传输安全。 身份互信一项,包含身份鉴别和平台鉴别,其中身份鉴别采用TePA技术,而平台鉴别使用平台鉴别基础结构(Platform Authentication Infrastructure,PAI)协议。在数据传输安全方面,TISec技术采用隧道通用封装 (Tunnel Universal Encapsulating ,TUE)协议,该协议主要为IP协议分组提供完整性、机密性、抗重放攻击等安全服务。本测试实战将选择IP端到端身份互信的建立功能进行验证。
Network Security: Private Communication in a Public World, Second Edition
03-22
Network Security: Private Communication in a Public World, Second Edition By Charlie Kaufman, Radia Perlman, Mike Speciner ............................................... Publisher: Prentice Hall Pub Date: April 22, 2002 Print ISBN-10: 0-13-046019-2 Print ISBN-13: 978-0-13-046019-6 Web ISBN-10: 0-13-715588-3 Web ISBN-13: 978-0-13-715588-0 Pages: 752 Copyright The Radia Perlman Series in Computer Networking and Security Acknowledgments Chapter 1. Introduction Section 1.1. Roadmap to the Book Section 1.2. What Type of Book Is This? Section 1.3. Terminology Section 1.4. Notation Section 1.5. Primer on Networking Section 1.6. Active vs. Passive Attacks Section 1.7. Layers and Cryptography Section 1.8. Authorization Section 1.9. Tempest Section 1.10. Key Escrow for Law Enforcement Section 1.11. Key Escrow for Careless Users Section 1.12. Viruses, Worms, Trojan Horses Section 1.13. The Multi-Level Model of Security Section 1.14. Legal Issues Part 1: Cryptography Chapter 2. Introduction to Cryptography Section 2.1. What Is Cryptography? Section 2.2. Breaking an Encryption Scheme Section 2.3. Types of Cryptographic Functions Section 2.4. Secret Key Cryptography Section 2.5. Public Key Cryptography Section 2.6. Hash Algorithms Section 2.7. Homework Chapter 3. Secret Key Cryptography Section 3.1. Introduction Section 3.2. Generic Block Encryption Section 3.3. Data Encryption Standard (DES) Section 3.4. International Data Encryption Algorithm (IDEA) Section 3.5. Advanced Encryption Standard (AES) Section 3.6. RC4 Section 3.7. Homework Chapter 4. Modes of Operation Section 4.1. Introduction Section 4.2. Encry
Confinement framework for encapsulating objects
02-21
Confinement is used to prohibit safety-critical objects from unintended access. Approaches for specifying and verifying confinement have been proposed in the last twenty years but their application has been help back. We develop a novel framework for specifying and verifying object confinement in object-oriented (OO) programs. Instead of expressing the confinement requirements within a class for possible future usage, as with ownership types, we specify confinement requirements of the class in i
IPSEC技术网络安全技术
05-16
25 (二)Encapsulating Security PayloadESP)协议结构 ........................................... 27 (三)ESP隧道模式和AH隧道模式 ......................................................................
TCP-IP详解:滑动窗口(Sliding Window)
热门推荐
深邃 精致 内涵 坚持
09-07 12万+
从传输数据来讲,TCP/UDP以及其他协议都可以完成数据的传输,从一端传输到另外一端,TCP比较出众的一点就是提供一个可靠的,流控的数据传输,所以实现起来要比其他协议复杂的多,先来看下这两个修饰词的意义: 1. Reliability ,提供TCP的可靠性,TCP的传输要保证数据能够准确到达目的地,如果不能,需要能检测出来并且重新发送数据。 2. Data Flow Control,提供TCP的流控特性,管理发送数据的速率,不要超过设备的承载能力 为了能够实现以上2点,TCP实现了很多细节的功能来保证数
TCP-IP详解:快速重传与快速恢复
深邃 精致 内涵 坚持
09-23 4万+
快速重传算法 快速重传算法在之前的文章中有介绍,如果收到一个out-of-order的报文段时, TCP需要立刻产生一个ACK,这个ACK不应该被延时,目的在于让对方知道收到一个失序的报文,并告诉对方自己希望收到的报文seq,我们不知道这个重复的ACK的原因,因为还是会等待少量的重复ACK到来,如果连续收到3个或者3个以上的dup ACK,就被判断这个报文被丢失了,于是就需要立即重传丢失的数据段
TCP-IP详解: RTT和RTO的计算方法
深邃 精致 内涵 坚持
09-11 3万+
对于segment的重传,重传的时间RTO设定是非常重要的,如果设置太短,可能会导致并没有丢包而重传,如果设置太长了,可能因为等待ACK而浪费掉很多时间,牺牲传输的效率。从思想上来讲,其实我们还是希望重传的时间需要稍稍的大于RTT就可以了。但是这个RTT没有什么可以使用的定值,他是不断变化的。
TCP-IP详解:SACK选项(Selective Acknowledgment)
深邃 精致 内涵 坚持
09-11 3万+
参考教材:TCP-IP Guide 引入理由 在文章TCP-IP详解:超时重传机制中,有介绍到快速重传和超时重传都会面临到一个重传什么包的问题,因为发送端也不清楚丢失包后面传送的数据是否有成功的送到。主要原因还是对于TCP的确认系统,不是特别的好处理这种不连续确认的状况了,只有低于ACK number的片段都被收到才有进行ACK,out-of-order的片段只能是等待,同时,这个
IPSec协议套件有哪些
07-10
IPSec(IP Security)协议套件是用于保护IP通信的一组协议和算法。它由以下几个主要组成部分组成: 1. 认证协议: - AH(Authentication Header):提供数据的完整性验证和防止数据篡改的功能,但不提供数据的加密。 2. 加密协议: - ESPEncapsulating Security Payload):提供对IP数据包进行加密、认证和完整性保护的功能。 - IKE(Internet Key Exchange):用于自动化密钥交换和建立安全关联的协议。 3. 密钥管理协议: - ISAKMP(Internet Security Association and Key Management Protocol):用于建立和管理IPSec安全关联,提供了密钥交换和管理的功能。 4. 加密算法: - AES(Advanced Encryption Standard):对称加密算法,目前广泛使用的加密算法之一。 - 3DES(Triple Data Encryption Standard):对称加密算法,较为传统的加密算法。 - DES(Data Encryption Standard):对称加密算法,已经较少使用。 5. 认证算法: - HMAC(Hash-based Message Authentication Code):基于哈希函数的认证算法。 - MD5(Message Digest Algorithm 5):哈希函数,用于数据完整性验证,但已经不推荐使用。 - SHA(Secure Hash Algorithm):哈希函数,用于数据完整性验证,SHA-1、SHA-256等是常用的SHA算法。 IPSec协议套件的具体使用取决于安全需求和配置。通常,通过组合和配置上述协议、算法和参数,可以实现对IP通信的加密、认证和完整性保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值